在ISA Server 2004防火墙和D-link DI-804HV IPSec VPN路由器间启用IPSec站点到站点的隧道

这个周末我通过配置一个D-link的DI-804HV VPN路由器使用IPSec 
site-to-site隧道的形式从分公司连接到了公司的ISA防火墙上。这个D-link路由器非常便宜,并且很容易配置,它可以作为一个简单的防火墙,同样的,它允许进入的PPTP和L2TP/IPSec远程VPN连接。 

实验环境如下: 




 




ISA部分:



首先,你得确认你的内部网络地址集中包含了整个内部网络。这是非常重要的,因为IPSec策略必须在建立连接的两边都要匹配,否则,连接不会建立。打开你内部网络的属性,如下图: 



这个内部网络范围必须包含你整个子网。剩下的就很简单了。 


建立一个新的远程站点网络,命名为“Branch Office”:



选择IPSec隧道模式, 



输入D-link路由器的外部IP作为远程VPN网关的IP,然后选择ISA Server的外部IP作为本地VPN网关的IP, 



在认证页,我们选择预定义的密钥,因为D-link路由器只支持这个:),



点击Next,在下一个屏幕中,加入远程VPN网络的地址集:



结果如下:


 


最后点击Finish。




现在我们需要建立一个网络规则,命令为“Branch Office”: 


选择“Branch Office”作为它的源网络;

选择后的源网络如下:

选择内部网络作为目的网络, 

选择后的目的网络如下:

来路由关系上,选择“Route”,

在完成这个向导后,我们需要建立一个访问策略来允许分公司访问总部的网络,新建一个策略,命名为“Allow Traffic 
from Branch Office”,

规则动作选择“Allow”,

协议选择“All outbound traffic”,

这个地方,你可以限制分公司可以访问的服务。 

然后,在源网络中,选择“Branch Office”,

选择后的源网络如下:

 

在目的网络上选择“Internal”,

选择后的目的网络如下:

用户集选择“All Users”,同样,你可以在此对分公司的用户进行限制。

点击完成后,ISA部分的设置就完成了。下面我们来设置D-link部分。 
D-Link VPN路由器部分



首先,进入D-link VPN路由器的管理界面,我是使用的静态IP,如下图: 


点击“Home”,再点击“VPN”。启用VPN,然后为你的隧道设置一个名字,这个VPN路由器最大可以同时支持50个隧道! 


点击“More”,进入隧道的设置,如下图,和ISA Server上的设置相反(注意:图上有误,Local 
Subnet应该是10.1.0.0
),预定义密钥和ISA Server上设置的一样,点击Apply;


然后我们选择IKE设置,点击“Select IKE Proposal”,如下图。在这儿,我们建立两个具有不同生存周期的IKE状态: 

同样的,在IPSec Proposal里面,我们建立对应的IPSec状态,如下图,点击Apply 


现在我们可以ping公司总部的网络,测试这个IPSec site-to-site VPN的连通性, 

连接是正常的。

如果你点击VPN Status,你可以观察到VPN的连接状态。 

最后,请你记住,IPSec可以通过NAT设备,还有本地和远程网络在VPN的两端必须保持一致。 


核心关注:锐祥ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

客服热线:13688922084
版权所有:亿恒信息技术有限公司